Waarom de Nederlandse overheid vraagtekens zet bij de veiligheid van Google Workspace

6 min lezen
Wat zijn de voornaamste redenen voor dit besluit?

Wat zijn de voornaamste redenen voor dit besluit?

De Nederlandse overheid heeft gewaarschuwd voor het gebruik van Google's G Suite Enterprise software (tegenwoordig bekend onder de naam Google Workspace). De reden hiervoor zijn mogelijke risico's voor de privacy. De overheid overlegt momenteel met de AP (gegevensbeschermingsautoriteit van Nederland) en de Europese Unie over de vraag of de toepassingen veilig kunnen worden gebruikt voor overheidsdoeleinden en het onderwijs.

Verschillende elementen van Google Workspace leveren volgens het Nederlandse ministerie van Justitie en Veiligheid risico's op door een gebrek aan transparantie of een duidelijk doel voor de verwerking van gegevens. Een Data Privacy Impact Assessment (DPIA) resulteerde afgelopen juli al in een aanbeveling om G Suite Enterprise, sindsdien omgedoopt tot Google Workspace, niet te gebruiken in de publieke sector. De voornaamste reden? Een tiental hoge risico's voor gegevensbescherming.

Deze zorgen werden doorgegeven aan Google, maar in februari waren acht van de tien risico's nog steeds aanwezig, onder meer in diensten als Gmail, Calendar, Sheets, Slides, Cloudsearch en Drive. Na overleg tussen de AP en de Europese waarnemers zal de toezichthouder een schriftelijk advies over de kwestie uitbrengen. De onderhandelingen zijn dus niet geheel van tafel, maar er zal additioneel onderzoek plaatsvinden. 

De Nederlandse overheid constateerde eerder soortgelijke problemen met Microsoft-software na een privacybeoordeling. In tegenstelling tot bij Google, werden deze in meerdere overlegrondes met Microsoft wel opgelost.

Waarom zijn diensten als Gmail, Google Calendar en Google Drive mogelijk onveilig volgens de Nederlandse overheid?

Uit het onderzoek van de Nederlandse overheid komen een aantal privacyrisico’s naar voren, waarvan tien hoge risico’s en drie lagere risico's. Zo ziet Google zichzelf als de enige verwerkingsverantwoordelijke van de data die zij verzamelen. Daarmee hebben zij de mogelijkheid om te bepalen met welk doel ze metadata willen verzamelen en mogen zij de voorwaarden hiervan eenzijdig aanpassen. In de onderstaande tabel zijn de grootste bezwaren uiteengezet:

Risico’s zoals benoemd in Google Workspace DPIA van de Nederlandse overheid Gewenste veranderingen van Nederlandse overheid*
Lack of purpose limitation Customer Data Uitleg waarom en hoe er customer data wordt verzameld.
Lack of purpose limitation Diagnostic Data Uitleg waarom en hoe er diagnostic data wordt verzameld.
Lack of transparency Customer Data Uitleg wat er met de customer data zal gebeuren.
Lack of transparency Diagnostic Data Uitleg wat er met de diagnostic data zal gebeuren.
No legal ground for Google and government organisations

De Nederlandse overheid vraagt Google om volgens de Nederlandse wetgeving te werken. Onder andere: “Comply with cookie legislation, e.g. the Dutch telecommunications Act for the telemetry and website data (Diagnostic Data)”.

Missing privacy controls Voorkomen dat Google mee kan lezen met de opgesteld documenten en content middels bijvoorbeeld een spellingchecker die tevens bedoeld is voor Google’s Machine Learning.  
Privacy unfriendly default settings Uitvoerige en begrijpelijke informatieverstrekking over de gevolgen voor de gegevensbescherming indien eindgebruikers of beheerders kiezen voor privacy-onvriendelijke instellingen.
One Google Account Adviseer eindgebruikers om zich niet aan te melden met meerdere Google-accounts tegelijk. Anders zou Google de link kunnen leggen tussen persoonlijke informatie en het werk-account.
Lack of control subprocessors Wijziging van het contract zodat de klant de mogelijkheid heeft bezwaar te maken tegen subverwerkers van persoonsgegevens - ongeacht of deze zijn opgenomen in de klantgegevens, gegevens met betrekking tot het Google-account, ondersteunende gegevens en diagnostische gegevens die anderszins door Google worden verwerkt.
No access for data subjects Werknemers (gebruikers van Google Workspace) informeren over de toegang tot de gegevens in de beschikbare admin-logbestanden.

* Sidenote: De informatie in deze tabel is vertaald uit het Engels en kan mogelijk afwijken van de precieze betekenis. Voor de exacte uitleg, raadpleeg het rapport via onderstaande link.  Bron: DPIA Google G Suite Enterprise for SLM Microsoft Rijk | 9 July 2020, with update 12 February 2021 - URL

Naast de hoge risico’s zijn er ook drie lage risico’s uitgelicht door de Nederlandse overheid in de DPIA. De eerste vloeit voort uit het gebrek aan transparantie van Google. Hierdoor zouden werknemers van de overheid of het onderwijs kunnen denken dat ze voortdurend in de gaten worden gehouden. Het volgende punt is het gebrek aan een effectieve optie voor het verwijderen van historische persoonsgegevens. Het derde risico gaat om het feit dat Google een cloudprovider is en persoonsgegevens verwerkt worden op servers in de Verenigde Staten.

Reactie Google op negatief advies van de Nederlandse overheid

Google heeft in een reactie aangegeven dat het in het kader van het DPIA-proces ook uitvoerig met de Nederlandse overheid heeft overlegd. Het bedrijf zei dat het al een aantal stappen heeft ondernomen om de bezorgdheid over zijn Workspace-producten weg te nemen. Bovendien is het bedrijf van plan om verdere actie te ondernemen om twijfels van de Nederlandse overheid weg te nemen. Wat deze precies zijn is nog onbekend. 

Google voegde eraan toe dat het in de programma's zelfs geen klant- of servicegegevens heeft gebruikt voor advertentie targeting, en dat klanten de volledige controle over hun gegevens behouden. Het bedrijf zei dat het zich "inzet voor transparantie, naleving van regelgeving zoals de GDPR, en beste praktijken op het gebied van privacy".Twitter

Mijn organisatie maakt gebruik van Google Workspace, wat nu?

Veel organisaties in Nederland maken gebruik van de Google Workspace. Die vragen zich uiteraard af wat te doen. Het gaat in dit geval vooral om de invloed van Google met betrekking tot het waarborgen van privacygevoelige gegevens. Niet gelijk reden tot paniek dus, maar wél genoeg reden om extra aandacht aan je data veiligheid te besteden. Aan de hand van dit nieuws is onderstaand artikel geschreven zodat organisaties kunnen bekijken in hoeverre Google Workspace de gewenste beveiliging biedt. 

→ Blog: Biedt Google Workspace (voorheen G Suite) nog wel de juiste beveiliging voor e-maildata? [soon online!]

Zelf zegt Google metadata volgens de regels te verwerken en niet te gebruiken voor advertentiedoeleinden. De Autoriteit Persoonsgegevens (AP) en de Europese Unie gaan dit verder onderzoeken.

Veiligheid e-maildata belangrijk speerpunt

Achteroverleunen dan maar? Experts denken van niet. Ze hopen dat het incident met Google Workspace de ogen opent van Information Security Officers. Niet alleen de invloed van techreuzen op de verwerking van privacygevoelige data is een belangrijk onderwerp. Ook de veiligheid van e-maildata binnen Gmail staat al langer ter discussie voor het delen van privacygevoelige data. 

Voor sommige organisaties is het al wettelijk verplicht om additionele veiligheidsmaatregelen te nemen binnen 'normale' e-mailprogramma's zoals Gmail. Dit geldt overigens niet alleen voor Gmail, maar ook voor programma's als Outlook of Salesforce. Zo zijn in Nederland zorgorganisaties, zorgverzekeraars en overheidsinstanties verplicht gebruik te maken van additionele veiligheidsoplossingen bij digitale zorgcommunicatie. Dit is nodig om te voldoen aan wet- en regelgeving en geldt voor zorgorganisaties, verzekeraars en overheden. Zij moeten volgens de Nederlandse wetgeving werken met veilige e-mail oplossingen zoals Zivver of ZorgMail (de laatst genoemde integreert echter niet in Gmail).

Dergelijke oplossingen integreren vaak naadloos in e-mailprogramma's en bieden als het ware een extra veiligheidslaag binnen bijvoorbeeld de vertrouwde Gmail-omgeving. Bij het delen van persoonsgegevens of andere gevoelige informatie activeert de gebruiker Zivver binnen Gmail. Vervolgens wordt de informatie door de technologie van Zivver beveiligd voor het versturen, tijdens het versturen én na het versturen. Berichten en bijlagen kunnen zelfs ingetrokken worden of automatisch verwijderd na een specifieke periode.

→ Blog: 3 stappen die je vandaag kunt nemen om data binnen Google Workspace beter te beveiligen [soon online!]

Veilig mailen vastgelegd in wettelijke norm

De noodzaak voor additionele beveiliging binnen e-mailcommunicatie is opgenomen in de Nederlandse norm NTA 7516. Dit is de norm voor veilige ad hoc communicatie van gezondheidsinformatie. Deze norm is gemaakt door de NEN, in opdracht van het ministerie van VWS, het Informatieberaad Zorg en gemeenten. Onder ad hoc communicatie valt e-mail, maar ook chat, portalen, messengers, enzovoorts. Oftewel: alle vormen van digitale communicatie die tussen mensen plaatsvindt. 

De norm beschrijft aan welke ruim twintig eisen organisaties en de oplossingen die zij gebruiken moeten voldoen als ze willen claimen veilig te zijn. Dit zijn eisen ten aanzien van beschikbaarheid, integriteit, vertrouwelijkheid, gebruiksvriendelijkheid, interoperabiliteit, beleid en logging.

Naar verwachting zal de norm worden uitgerold naar andere Europese landen en diverse sectoren. Denk bijvoorbeeld aan de juridische en financiële sector. Dit onderstreept de noodzaak van die extra beveiligingslaag binnen bijvoorbeeld Gmail.

Lees meer over de NTA 7516 normering



Benieuwd wat jij kunt doen om communicatie beter te beveiligen? Meer dan 4.000 organisaties brachten met Zivver een extra beveiligingslaag aan in hun e-mailcommunicatie. 

Lees onze succesverhalen, raadpleeg onze 'Zivver voor Gmail' pagina of vraag een kosteloze demo aan.

Geschreven door

Kevin Lamers

Gepubliceerd op maart 11, 2021

Laatst gewijzigd op maart 16, 2021